MikroTik OpenVPN CA und Zertifikate erstellen

artpic_mikrotik-openvpn-zertifikate

Dafür war man bisher immer auf externe Software angewiesen. (Was man natürlich auch weiterhin beibehalten kann.)
Für die Erstellung der CA und Zertifikate hatte ich diese Tools alle mal im Einsatz:

Ab RouterOS 6 ist es möglich diese im eigenen Zertifikatsspeicher des Routers zu erstellen, zu verwalten und zu speichern.
Im Terminal ist das mit dem CLI ziemlich schnell erledigt. (Create Certificates – MikroTik Wiki)

Zuerst erstellen wir die rohen Templates. (In der WinBox → System → Certificates können sie danach noch weiter angepasst werden.)

Oder wir übergeben den Templates direkt alle Werte mit die wir benötigen.

Die Zertifikate werden jetzt unterzeichnet. (Wir nehmen die IP des Servers als CRL URL.)

CA und Server Zertifikat auf trusted setzen. (Wenn sie bisher noch kein T-Flag haben.)

Jetzt exportieren wir das CA Zertifikat und das Client Zertifikat mit Schlüssel.

Die exportierten Dateien kommen jetzt auf unseren OpenVPN Client.

Der private Key des Client Zertifikates ist mit einem Passwort geschützt. (Was in den meisten Fällen auch sinnvoll ist!)
Bei der Einwahl des Clients wird dieser immer mit abgefragt. Sollte dies störend sein, lässt sich das Passwort mit openssl entfernen.

Nach der Abfrage des Passwortes ist der neu erstellte Key dann Passwortfrei.

Für ein kleines Setup mit ein paar VPN Clients ist dies eine gute und schnelle RouterOS Lösung ohne zusätzliche Software.

Schreibe einen Kommentar